Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© Fauxels, Pexels
7 Tipps zur Sensibilisierung Ihrer Mitarbeitenden
Die Sensibilisierung von Mitarbeitenden gehört zu den wichtigsten organisatorischen Maßnahmen, die Datenschutzbeauftragte und Verantwortliche zur Vermeidung von Datenschutzverletzungen und IT-Sicherheitsvorfällen einsetzen können. Die Erfahrungen zeigen, dass die meisten Datenschutzverletzungen durch Unwissenheit oder mangelnde Sensibilität der Mitarbeitenden erfolgen. Gleichzeitig besteht hier großer Nachholbedarf.
Laut einer SVBM-Umfrage sehen drei Viertel der befragten externen Datenschutzbeauftragen und 71 % der Geschäftsführungen und Datenschutzkoordinationen den größten Handlungsbedarf in der Sensibilisierung von Mitarbeitenden – weit vor anderen Maßnahmen wie z. B. dem Umgang mit Datenschutzverletzungen. Auch die Hälfte der internen Datenschutzbeauftragten schätzt den Handlungsbedarf (nach VVT-Erstellung) in der Sensibilisierung am größten ein.
Wir haben anhand von sieben Tipps zusammengefasst, wie Sie das Risiko „Mensch“ nachhaltig reduzieren können.
Hintergrund
Es steht zwar in keinem Datenschutzgesetz direkt geschrieben, dass die Sensibilisierungs- und geeignete Schulungsmaßnahmen verpflichtend für die Mitarbeitenden durchzuführen sind (vgl. Arbeitssicherheit). Allerdings ergibt sich aus den in der DSGVO geregelten Aufgaben von Datenschutzbeauftragten (Art. 39) und der Pflicht von Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen (Art. 24), dennoch eine Verpflichtung, die Belegschaft zu schulen und zu sensibilisieren.
Ob mit oder ohne gesetzliche Verpflichtung: Sie sollten für alle Mitarbeitenden, die mit personenbezogenen Daten agieren und in Kontakt kommen, die Sensibilisierungs- und Schulungsmaßnahmen zur „Pflichtveranstaltung“ erklären. Bedenken Sie: „Eine Kette ist immer nur so stark wie ihr schwächtes Glied!“
Dabei gilt: Es geht nicht darum, nur den gesetzlichen Anforderungen Genüge zu tun. Es geht darum, die Mitarbeitenden für das Thema zu sensibilisieren um Schäden – z. B. durch eine unrechtmäßige Datenverarbeitung – von Betroffenen (Kundinnen und Kunden, Mitarbeitenden, Bewerber:innen etc.) und somit auch von Ihrer Organisation fernzuhalten. Dies führt unweigerlich auch zum datenschutzkonformen Handeln der Mitarbeitenden im operativen Tagesgeschäft.
1. Machen Sie die Schulung nachweisbar.
Aus Art. 5 Abs. 2 DSGVO ergibt sich für Verantwortliche eine Rechenschaftspflicht. Das heißt, sie müssen nachweisen können, dass sie die Vorgaben des Datenschutzgesetzes einhalten. Dazu zählen auch Schulungs- und Sensibilisierungsmaßnahmen.
Den Nachweis können Sie auf unterschiedliche Weise erbringen. Beim E-Learning z. B. ist technisch leicht nachvollziehbar, welche Mitarbeitenden wann die Schulung durchgeführt haben. Bei Präsenzschulungen können Sie unterschriebene Anwesenheitslisten führen.
2. Ergänzen Sie die Sensibilisierung mit weiteren Themen.
Vor allem bei Präsenzschulungen kann es sich unter Umständen anbieten, verwandte Themen wie Informationssicherheit oder die Wahrung von Betriebsgeheimnissen zu ergänzen. Achten Sie allerdings darauf, dass die Schulung nicht zu lang wird. Nach einer gewissen Zeit lässt die Aufnahmefähigkeit deutlich nach.
3. Geben Sie praktische Hinweise.
Datenschutz kann ein abstraktes Thema sein – muss es aber nicht. Beziehen Sie daher die gesetzlichen Vorgaben auf Ihre individuelle Situation und geben Sie praktische Tipps für den Arbeitsalltag. Wie sollen sich Ihre Mitarbeitenden am Arbeitsplatz verhalten? Wie können sie Datenschutzverletzungen und IT-Sicherheitsvorfälle erkennen und damit umgehen? Und wo finden sie Informationen dazu? In diesem Schritt können Sie direkt auf Ihr Datenschutzmanagement und Ihre organisationsspezifischen Prozesse eingehen. An wen soll sich Ihre Belegschaft bei Datenschutzpannen oder Betroffenenanfragen beispielsweise wenden?
4. Führen Sie Sensibilisierungen regelmäßig durch.
Eine Schulung beim Arbeitsantritt und fertig – das reicht in der Regel nicht aus. Inhalte und Anforderungen sind schnell wieder vergessen. Deshalb sollten Sie Ihre Mitarbeitenden regelmäßig sensibilisieren und die Inhalte auffrischen. Wir empfehlen einen jährlichen bzw. maximal zweijährlichen Turnus.
5. Setzen Sie zusätzliche Materialien zur Auffrischung ein.
Damit der Datenschutz und die IT-Sicherheit zwischen geplanten Schulungen nicht untergehen, können Sie zudem weitere Sensibilisierungsmaterialien einsetzen. Dabei können Sie ruhig kreativ sein – dann bleibt es in der Regel auch besser hängen. Von regelmäßigen themenbezogenen Mails, zu Selbsttests oder Postern: Die Möglichkeiten sind vielfältig und sollten auf die jeweilige Organisation angepasst werden.
Eine jährliche Schulung reicht oft nicht aus, um Datenschutzregeln zu verankern. Wir haben verschiedene Hilfsmittel entwickelt, um Ihre Belegschaft täglich am Arbeitsplatz zu sensibilisieren – spielerisch und effektiv!
6. Besondere Abteilungen erfordern besondere Inhalte.
Die Anforderungen an Datenschutz und IT-Sicherheit können sich je nach Abteilung deutlich unterscheiden. Mitarbeitende in der Produktion haben z. B. kaum Zugang zu personenbezogenen Daten. Ihre Personalabteilung hingegen verarbeitet täglich eine Vielzahl personenbezogener Daten, teils sensibler Natur. Auf diese Unterschiede sollten Sie bei Ihren Sensibilisierungsmaßnahmen eingehen und die Inhalte den Anforderungen der jeweiligen Zielgruppe anpassen. Gleichzeitig sollten Sie Schulungen nicht unnötig aufblähen, sondern kompakt halten und Themen, die für den Arbeitsalltag keine Rolle spielen, auslassen. Daher bietet es sich in vielen Fällen an, gesonderte Sensibilisierungs- und Schulungsmaßnahmen für die einzelnen Abteilungen anzubieten.
7. Leben Sie den Datenschutz.
Datenschutz kann nur funktionieren, wenn er aktiv gelebt wird. Gehen Sie hier mit gutem Beispiel voran. Wenn Datenschutzbeauftragte und Verantwortliche den Datenschutz vorleben, wird den Mitarbeitenden die Dringlichkeit des Themas bewusst und sie merken, dass der Datenschutz nicht optional ist. Sperren Sie also beispielsweise Ihren Bildschirm, wenn Sie Ihren Arbeitsplatz verlassen und thematisieren Sie den Datenschutz regelmäßig.
Fazit
Durch regelmäßige und umfassende Sensibilisierungsmaßnahmen können Sie das Risiko von Datenschutzverletzungen, Datenverlust und IT-Sicherheits-Vorfällen erheblich reduzieren. Zudem kann ein Nachweis über die Sensibilisierung die Sanktionen von Aufsichtsbehörden bei Datenschutzvorfällen abmildern. Können Sie die Sensibilisierung Ihrer Mitarbeitenden hingegen nicht nachweisen, droht Ihnen im Umkehrschluss in der Regel ein höheres Bußgeld. Die Sensibilisierung der Belegschaft ist also nicht nur Pflicht, sondern bietet ganz praktische Vorteile.
Sie möchten Ihre Mitarbeitenden zum Datenschutz sensibilisieren? Wir unterstützen Sie! Mit unserem E-Learning zur DSGVO und dem KDG können Sie Ihre Belegschaft, aber auch Fachbereiche wie die Personalabteilung, nachweisbar sensibilisieren – ohne großen Verwaltungsakt und ganz nach Ihren Bedürfnissen.
Von den Grundlagen bis zu Compliance-Fragen für Geschäftsführungen: Im Rahmen des SVBM Instituts halten wir vielfältige Live-Schulungen.
Externer Datenschutz – Datenschutz und Datensicherheit – Datenschutzschulungen
Impressum | Datenschutzerklärung